Важные справочники к ночным пляскам с бубном:)  

  СПРАВОЧНИК PHP

Работа с базами данных

Примечания

Функцию mysql_real_escape_string() можно использовать только после того, как установлено соединение с MySQL. В противном случае возникнет ошибка уровня E_WARNING, а функция возвратит FALSE. Если link_identifier не указан, используется последнее открытое соединение.

Если magic_quotes_gpc включены, то сначала данные следует обработать функцией stripslashes(). Если mysql_real_escape_string() применяется к данным, которые уже были прослешены, то в результате слеши в данных будут удваиваться.

Если не пользоваться этой функцией, то запрос становится уязвимым для взлома с помощью SQL Injection.

mysql_real_escape_string() не экранирует символы % и _. Эти знаки являются масками групп символов в операторах MySQL LIKE, GRANT или REVOKE.

script© 16valve.ru version 1.0 2016